Der britische Security-Experte Sophos http://www.sophos.com warnt vor einem neuen Wurm mit integriertem IRC-Backdoortrojaner. "W32/Rbot-AGI" läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver bereit, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.
"Rbot-AGI" schaltet Antiviren-Anwendungen ab und ermöglicht Dritten den Zugriff auf den Computer. Weiters stiehlt er Dateien und reduziert die Systemsicherheit. Laut Sophos speichert der integrierte Trojaner zusätzlich bestimmte Tastenkombinationen (Keylogger-Funktion) und sendet damit sensible Daten wie Passwörter an einen fremden Server.
Laut Sophos verbreitet sich der Wurm über Netzwerkfreigaben, die durch einfache Kennwörter geschützt sind, sowie über Computer, die für häufige Schwachstellen anfällig sind, darunter "LSASS" (MS04-011).
Nach der Attacke kopiert sich "Rbot-AGI" mit einem zufälligen Dateinamen in den Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er automatisch bei der Computeranmeldung gestartet wird: "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Win Secure Update